Beruflich Dokumente
Kultur Dokumente
THEME DE RECHERCHE :
Animateur :M.L.HANNAOUI
Juin 2004
ISCAE/CSG
Thème de recherche
PLAN
INTRODUCTION
1. PILOTAGE ET MANAGEMENT
2. ASSURANCES
1. RISK MANAGEMENT
2. AUDIT INTERNE
3. RESSOURCES HUMAINES
1. GENERALITES
2. PROCESSUS DE PAIE
3. EM BAUCHES
5. CONGES, HORAIRES
4. INFORMATIQUE
1. POLITIQUE DE SECURISATION
ISCAE/CSG
Thème de recherche
3. AUTRES FONCTIONNALITES DE PREVENTION ET DE DETECTION DU
SYSTEME INFORMATIQUE
5. COMPTABILITE
1. SITUATION D’AUTOCONTROLE
2. SUSPENS
3. COMPTES NOSTRI
4. COMPTES CHARNIERES
5. COMPTES SENSIBLES
6. OPERATIONS DE MARCHE
3. MIDDLE OFFICE
4. BACK OFFICE
7. ACHATS ET APPROVISIONNEMENTS
ISCAE/CSG
Thème de recherche
INTRODUCTION
Ces points étant établis, l’objectif d’un tel audit, qu’il soit mené par
l’Inspection Générale ou les auditeurs internes, est de détecter les zones
sensibles d’une entité en terme d’exposition à la fraude, interne ou
externe.
Ce thème répondra donc aux préoccupations suivantes :
- vérifier la fiabilité et le respect des procédures internes, notamment en
terme de séparation des fonctions entre donneurs d’ordres (front
office) et exécutants (middle et/ou back offices).
- Identifier les dysfonctionnements éventuels du dispositif de contrôle
interne, notamment en matière de sécurisation informatique et de
contrôles hiérarchiques,
- rappeler les règles liées à la prévention de la fraude et à la déontologie
de la profession bancaire ainsi que celles liées à la pratique du « Know
Your Customer ».
ISCAE/CSG
Thème de recherche
1. PHASE PREPARATOIRE DE LA MISSION D’AUDIT
Documentation générale :
ISCAE/CSG
Thème de recherche
Comment le management a-t-il réparti les rôles entre les divers acteurs
de son entité en termes de prévention de la fraude ? Une personne
«coordinatrice» a-t-elle été désignée ? Comment est organisée la
supervision de la prévention de la fraude et la remontée de l’information,
notamment sur le personnel sensible?
2.1.2. Assurances
L’entité a-t-elle adopté un dispositif de prévention de la
fraude « agréé » ?
Les réponses apportées par la Direction de l’Unité au formulaire de
proposition de la police d’assurance liée à la fraude présentent-elles des
irrégularités ? Y a-t-il une remise à jour annuelle ?
ISCAE/CSG
Thème de recherche
influence dans le processus de décision d’ouverture ou de fermeture de
comptes ou celui des modifications de fonctionnement d’un compte ?
Travaille-t-il avec des outils fiables et exhaustifs ?
L’entité a-t-elle défini quelles sont les opérations interdites, celles
inhabituelles, à risques ou potentiellement litigieuses devant donner lieu à
une analyse complémentaire ? Existe-t-il un processus formel
d’approbation des opérations « délicates » ?
Les rapports et notes sur les transactions suspectes sont-elles bien
conservé ?
Le code de déontologie a-t-il été diffusé à l’ensemble des
collaborateurs ?
Les collaborateurs ont-ils signé un engagement au respect du secret
bancaire, à la lutte contre le blanchiment et ont-ils pris connaissance de
leurs devoirs rappelés dans le Règlement intérieur de l’entité ?
Existe-t-il des règles précisant la politique de l’entité en matière de
cadeaux et avantages en nature, reçus ou offerts ?
2.3. Ressources humaines
2.3.1. Généralités
Les collaborateurs ont-ils conscience des risques de fraude interne ?
Les soupçons éventuels sont-ils remontés à la hiérarchie ? Le personnel
est-il raisonnablement suspicieux dans ses relations internes et dans la
validation des informations de provenance extérieure ?
En particulier, les collaborateurs de la DRH sont-ils conscients des risques
détaillés ci-contre ?
La circulation et la conservation des documents y sont-elles suffisamment
sécurisées ? En particulier, l’accès aux locaux des RH est-il limité
(badge) ? Les habilitations sont-elles à jour et notamment pour les
collaborateurs ayant quitté les RH ?
ISCAE/CSG
Thème de recherche
2.3.3. Embauches
Y a-t-il des contrôles spécifiques au niveau des embauches ? S’assure-t-on
de l’honorabilité des embauchés, notamment pour le personnel sensible
ou dirigeant, par la demande de documents probants en accord avec le
droit du travail local ?
Le personnel de la DRH demande-t-il systématiquement des documents
originaux ou certifiés conformes par des autorités compétentes ?
2.4. Informatique
2.4.1. Politique de sécurisation
La direction de l’entité fait-elle des choix visant à réduire l’exposition
à la fraude en matière de sécurisation informatique ?
Existe-t-il une réflexion sur la sécurité informatique, intégrant la
possibilité des fraudes internes ? Existe-t-il des procédures d’accès
restreints aux postes de travail et aux programmes ? Y a–t-il des
consignes relatives à la protection des mots de passe et une impossibilité
logique de changement de mots de passes ?
ISCAE/CSG
Thème de recherche
2.4.2. Prévention par les habilitations informatiques :
La construction du système de gestion des habilitations respecte-t-elle le
principe de séparation des fonctions (validation obligatoire des opérations
par une personne différente de celle ayant saisi) ?
Qui définit, valide et suit les profils utilisateurs ? A quelle fréquence les
profils et les identités des utilisateurs sont-ils vérifiés ?
A même poste, a-t-on les mêmes habilitations ? Comment s’expliquent les
éventuelles exceptions ?
Les hiérarchiques ont-ils des profils limités à leur rôle de décideur ? Est-il
interdit aux personnes chargées de l’audit interne de passer des
écritures ?
Lors des changements de poste, y a-t-il annulation des précédentes
habilitations ? Comment l’administrateur est-il au courant des
changements de poste, des départs ou des arrivées ?
2.4.3. Autres fonctionnalités de prévention et de détection du système
informatique
Outre les habilitations, le système infomatique intègre-t-il des
contrôles préventifs :
- via des blocages informatiques lorsque une autorisation hiérarchique
est requise (projection des délégations dans les SI)
- via le recoupement d’informations entre les bases de données internes
(ex : l’encaissement d’un bon émis par l’entité est-il soumis
préalablement à la vérification de la non opposabilité sur ce bon ) ?
Existe-t-il des contrôles détectifs sur l’activité commerciale (par
exemple : liste d’exceptions ou liste d’alerte sur les transactions
inhabituelles) ou sur les écritures passées hors systèmes intégrés ?
2.5. Comptabilité
Beaucoup de fraudes auront une traduction comptable. Les points de
contrôle à dérouler font partie d’un mode opérationnel particulier auquel
l’auditeur se référera.
2.5.1. Situation d’autocontrôle
Y a-t-il des personnes en position d’être les seules à maîtriser la
comptabilité de leur service ? Si oui, quel contrôle a posteriori est exercé
par le Service comptable ou l’audit ? Est-il matérialisé et satisfaisant ?
2.5.2. Suspens
Les suspens sont-ils reportés aux départements concernés pour
traitement ? Selon quelle fréquence ?
ISCAE/CSG
Thème de recherche
Qui vérifie les suspens au-delà d’un certain montant ou d’une certaine
durée ? La surveillance devient-elle plus stricte avec les suspens
vieillissants ?
Existe-t-il des indicateurs d’alerte, de suivi ou des listes de suspens à
traiter (hiérarchisés par importance) ?
Ces comptes font-ils l’objet de justifications régulières et documentées ?
ISCAE/CSG
Thème de recherche
b. enregistrer les opérations de trading, tenir les livres de positions et des
échéanciers, préparer des rapports d’activité quotidiens et des états de
positions (à l’exception des notes pour informer les traders sur les
positions prises) ?
c. réévaluer les positions régulièrement et déterminer les gains ou les
pertes pour les comptes officiels
d. dénouer les opérations ou effectuer d’autres fonctions de paiement ou
de réception de fonds, telles que l’émission ou la réception et le
traitement d’opérations par câble ou par courrier, des effets ou des lettres
de change.
e. recevoir les confirmations des contreparties et les marier avec les
contrats ou les avis de courtiers, suivre les confirmations en suspens et
corriger les erreurs qui s’y rapportent et autres fonctions de traitement
similaires.
f. gérer et rapprocher les comptes Nostri et autres comptes débiteurs et
créditeurs concernés par les activités de trading.
g. préparer, approuver et enregistrer toute autre écriture comptable.
Le personnel du FO est-il exclu des listes de signatures autorisées et
des personnes habilitées à :
- ouvrir des comptes au nom de la Banque auprès de confrères ou de
courtiers
- initier des transferts ou des mouvements sur ces comptes ?
Accès Est-ce que l’accès à la salle des marchés est réservé aux personnes
autorisées ?
ISCAE/CSG
Thème de recherche
Stocks Le MO calcule-t-il les risques et les résultats sur un stock
validé chaque jour par un secteur (BO) indépendant du FO ?
ISCAE/CSG
Thème de recherche
Les éléments utilisés pour les ordres de paiement (codes Swift, clefs
télex…) offrent-ils une sécurité suffisante ?
Les systèmes utilisés génèrent-ils automatiquement des ordres de
paiement, des avis de réception de fonds pour tous les produits traités ?
Les ordres de paiement sont-ils intégralement remplis ?
Les tâches sont-elles suffisamment séparées dans le processus de
règlement ?
2.7. Achats et approvisionnements
Existe-t-il au sein de l’entité une fonction centrale Achats, possédant
une vue d’ensemble sur les processus d’achats ?
L’entité respecte-t-elle la logique de séparation de fonctions (entre
expression des besoins, négociation, contractualisation, approbation des
factures, comptabilisation, paiement, traitement courrier et contrôle a
posteriori) ?
Y a-t-il pluralité des intervenants, au moins dans le traitement des
opérations significatives pour l’entité ?
Existe-t-il des procédures satisfaisantes en matière d’achat et de
comptabilisation des dépenses (intègrent-elles un code éthique ? sont-
elles conformes aux normes du groupe ? exhaustives ? régulièrement
mises à jour ? …) ?
Utilise-t-on systématiquement des originaux et le mode de circulation et
de conservation des documents est-il suffisant à l’égard de la falsification
et comme piste d’audit ?
Le choix des fournisseurs fait-il l’objet d’études préalables, de mise en
concurrence ou de procédures d’appels d’offres en regard du contexte
législatif local ? Existe-t-il un suivi sur les fournisseurs ? Comment sont
gérées les accords-cadres du groupe ?
Les contrôles sont-ils efficients (demandes d’achat formalisées et validées
par la fonction achats, émission et approbation des bons de commande,
contrôle des factures, suivi des avoirs fournisseurs, revue indépendante
des contrats complexes, contrôles comptables) ?
ISCAE/CSG
Thème de recherche